Trouw heeft onderzoek gedaan naar de digitale veiligheid van een groot aantal Nederlandse overheidswebsites. Hierin komt naar voren dat tientallen sites risico’s vertonen, waarbij je met brute forcing binnen zou kunnen komen. Een gemeenschappelijke factor hierin is dat deze sites gebruik maken van WordPress. Maar in hoeverre is dat doorslaggevend voor de risico’s, en waar moet je op letten bij het beveiligen van dergelijke websites?
Ik heb het onderzoek vanochtend toegelicht in een radio item van BNR. Beluister het fragment.
wordpress
WordPress is een compleet content managementsysteem dat begin jaren 2000 is ontwikkeld voor bloggers. Sindsdien zijn de mogelijkheden enorm uitgebreid, dankzij een gemeenschap van programmeurs uit de hele wereld, en bedrijven maken er gelikte websites mee. Van de 10 miljoen populairste websites wordt ruim 40 procent gebouwd met WordPress.
Maar de grote toegankelijkheid en mogelijkheden tot uitbreidingen van de software heeft echter ook een nadeel. Doordat veel mensen met het programma overweg kunnen, is een verandering of uitbreiding op bestaande websites snel gemaakt. Hier wordt de beveiliging echter niet altijd op afgestemd. Daarnaast kunnen worden er gemakkelijk nieuwe sites worden aangemaakt, buiten het zicht van IT om. Zo is het overzicht en de controle vanuit een IT beveiligingsperspectief lastig te reguleren. Dat is juist nodig om risico’s zoals verlopen certificaten en gemiste software updates te kunnen voorkomen.
Blinde vlekken worden kwetsbare plekken
Dat de onderzochte websites uit het artikel veelal WordPress risico’s vertonen is dan ook niet onlogisch. Vaak gaat het om de WordPress-websites die buiten de officiële spelregels van de organisatie om worden opgezet. Dit soort sites komen vaak in de lucht vanuit onwetendheid, zonder kwaadaardige intenties. Dit noemen we schaduw-IT.
Wij zien dat 80% van alle cyberincidenten gebeuren via dergelijke blinde plekken in de totale aanvalsoppervlakte van een organisatie. Het is immers niet mogelijk een website te beveiligen wanneer het bestaan ervan niet bekend is. En gemiddeld missen grote organisaties tussen de 30 en 50 procent van hun totale aanvalsoppervlak.
Verbonden logins
WordPress niet onveilig
Toch is WordPress is niet per definitie onveilig. Maar zodra je functionaliteit of data gaat toevoegen ontstaat het risico. Vaak staat de functionaliteit van een website vooraan, en komt het beveiligen ervan pas later aan bod. Het kost echter veel tijd om dit zelf veilig te doen, en in de tussentijd zorgt het voor kwetsbaarheden in je systemen. Het is daarnaast ook lastig om van buitenaf te zien welke aanvullende maatregelen organisaties hebben getroffen om de site beter te beveiligen.
Nu is het wel goed te vermelden dat zo’n risico niet direct tot een datalek leidt. Maar het geeft aanvallers wel de mogelijkheden om stap voor stap dieper in de systemen te treden, of informatie op te doen voor een ander soort aanval.
hoe op te lossen
Daarom is het belangrijk om de volledige aanvalsoppervlakte van de organisatie in kaart te brengen. Schaduw-IT komt in grote hoeveelheden voor, en de generatie van deze losse eindjes is (bijna) niet volledig te voorkomen. Het is dan ook niet allemaal op te sporen wanneer je vanuit een eigen perspectief naar de digitale omgeving kijkt.
Een geautomatiseerde manier om van buitenaf naar de organisatie te kijken biedt de oplossing. Dit is dan ook dezelfde manier waarop een hacker zoekt naar de meest kwetsbare punten. Door een detectiemethode zonder opgelegd kader te gebruiken worden de omgevingen in kaart gebracht die voorheen aan de aandacht van het IT-team waren ontsnapt.
"That's out of scope" - said no hacker ever.
Ben je benieuwd hoe je geautomatiseerd je aanvalsoppervlak kan monitoren? Lees hier verder.
Lees het volledige artikel in de Trouw: https://www.trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor-veilige